W skrócie : Krytyczna luka została odkryta w Langflow, platformie open source do tworzenia agentów AI, umożliwiająca zdalne wykonanie kodu bez uwierzytelnienia. Luka, teraz naprawiona w wersji 1.3.0, została dodana do katalogu znanych wykorzystywanych luk CISA, która zaleca natychmiastową aktualizację.
Krytyczna luka została zidentyfikowana przez badaczy z Horizon3.ai w Langflow, platformie open source do projektowania łańcuchów agentów AI. Zarejestrowana pod kodem CVE-2025-3248, ta luka umożliwia zdalne wykonanie kodu (Remote Code Execution) poprzez punkt końcowy dostępny bez uwierzytelnienia. Przyczyną jest bezpośrednie użycie funkcji
exec() na kodzie przesłanym przez użytkownika, bez jakiegokolwiek ograniczenia czy filtracji. Mimo że została naprawiona w wersji 1.3.0, Amerykańska Agencja Bezpieczeństwa Cybernetycznego i Infrastrukturalnego (CISA) dodała ją 5 maja do swojego katalogu znanych wykorzystywanych luk (KEV), na podstawie dowodów aktywnego wykorzystania.Założone w 2020 roku i przejęte w 2024 roku przez DataStax, Langflow oferuje wizualny interfejs umożliwiający tworzenie agentów AI i złożonych przepływów pracy z wykorzystaniem modeli językowych, interfejsów API i baz danych. To narzędzie typu low-code open source jest skierowane do deweloperów, którzy chcą szybko prototypować aplikacje generatywne, zachowując jednocześnie szczegółową kontrolę nad technicznymi komponentami. Silnik platformy opiera się na łańcuchu LangChain, co tłumaczy jego popularność w projektach RAG (retrieval-augmented generation) i multi-agentowych.
Aby umożliwić niestandardowe rozszerzanie komponentów, Langflow udostępnia punkt końcowy walidacji kodu "/api/v1/validate/code". Mechanizm ten, mający ułatwić testowanie skryptów użytkowników, opiera się na bezpośrednim wykonaniu kodu Python za pomocą
exec() bez kontroli dostępu i bezpiecznego środowiska (sandboxing). Skutkuje to krytyczną luką: proste żądanie HTTP pozwala, bez uwierzytelnienia, przejąć kontrolę nad serwerem bazowym.Ta luka, ujawniona przez zespół badawczy ofensywny Horizon3.ai, specjalizujący się w proaktywnym wykrywaniu luk, jest klasyfikowana jako krytyczna, z oceną 9,8/10 w skali CVSS (Common Vulnerability Scoring System). Szczegółowa publikacja nie tylko przedstawia lukę, ale również dostarcza dowód koncepcji, czyniąc ryzyka zrozumiałymi i konkretnymi dla szerokiej publiczności technicznej.
Zalecenia
W następstwie ujawnienia, CISA wydała ostrzeżenie dotyczące bezpieczeństwa, zalecając agencjom rządowym i firmom natychmiastową aktualizację do wersji 1.3.0, wydanej 31 marca, ponieważ wcześniejsze wersje mogą być podatne na wstrzyknięcie dowolnego kodu.
Badacze z Horizon3.ai, którzy przypominają, że ponad 500 instancji Langflow jest wystawionych na działanie Internetu, podkreślają:
"Zasadniczo zalecamy ostrożność przy wystawianiu nowych narzędzi AI na działanie Internetu. Jeśli musisz je wystawić na zewnątrz, rozważ umieszczenie ich w izolowanej sieci VPC i/lub za SSO. Wystarczy jedno wdrożenie tych narzędzi na instancji chmurowej, aby doszło do naruszenia bezpieczeństwa".
Bardziej zrozumiałe
Czego narzędzie Langflow używa do swojej głównej łańcuchowej i dlaczego jest popularne w projektach RAG?
Langflow używa LangChain jako silnika swojej platformy, co jest szczególnie odpowiednie dla projektów RAG (retrieval-augmented generation), ponieważ pozwala na płynną integrację modeli językowych, API i baz danych w celu tworzenia złożonych agentów AI.
Czym jest katalog znanych podatności wykorzystywanych (KEV) CISA i jaka jest jego rola?
Katalog KEV CISA jest oficjalnym rejestrem podatności bezpieczeństwa, które zostały aktywnie wykorzystane. Jego rolą jest centralizacja i podkreślenie tych krytycznych wad, aby informować i doradzać agencjom i firmom na temat priorytetowych poprawek do zaimplementowania w celu wzmocnienia ich cyberbezpieczeństwa.